Wireshark 零基础使用教程（超详细）保姆级手把手教学

Wireshark零基础使用教程一、Wireshark是什么Wireshark是使用最广泛的一款「开源抓包软件」常用来检测网络问题、攻击溯源、或者分析底层通信机制。它使用WinPCAP作为接口直接与网卡进行数据报文交换。二、Wireshark抓包原理Wireshark使用的环境大致分为两种一种是电脑直连互联网的单机环境另外一种就是应用比较多的互联网环境也就是连接交换机的情况。「单机情况」下Wireshark直接抓取本机网卡的网络流量「交换机情况」下Wireshark通过端口镜像、ARP欺骗等方式获取局域网中的网络流量。端口镜像利用交换机的接口将局域网的网络流量转发到指定电脑的网卡上。ARP欺骗交换机根据MAC地址转发数据伪装其他终端的MAC地址从而获取局域网的网络流量。三、Wireshark安装入门。安装完成后我们学习一下快速抓包。1. 选择网卡打开 Wireshark 后会直接进入「网卡选择界面」WLAN 是我连接无线的网卡我们抓一下这个网卡的流量双击网卡名自动开始抓包。2. 停止抓包点击左上角的「红色按钮」可以停止抓包3. 保存数据点击右上角的「文件」选择「保存」可以保存抓包的数据也可以直接点击工具栏的保存按钮四、界面介绍Wireshark 的主界面包含6个部分菜单栏用于调试、配置工具栏常用功能的快捷方式过滤栏指定过滤条件过滤数据包数据包列表核心区域每一行就是一个数据包数据包详情数据包的详细数据数据包字节数据包对应的字节流二进制五、基础操作接下来我们学习一下Wireshark常用的操作。1. 调整界面大小工具栏中的三个「放大镜」图标可以调整主界面数据的大小。从左到右依次是放大、缩小、还原默认大小。2. 设置显示列数据包列表是最常用的模块之一列表中有一些默认显示的列我们可以添加、删除、修改显示的列。1添加显示列想要在数据列表中显示某一个字段可以将这个数据字段添加至显示列中。左键选中想要添加为列的字段右键选择「应用为列」。选中字段按 Ctrl Shift I 也可以实现同样的效果。添加为列的字段会在数据列表中显示。2隐藏显示列暂时不想查看的列可以暂时隐藏起来。在显示列的任意位置右键取消列名的「勾选」即可隐藏显示列。3删除显示列不需要查看的字段可以从显示列中删除。右键需要删除的列点击最下方的「Remove this Column」 。注意隐藏字段时在列名栏的任意位置右键即可而删除字段时需要在指定的列名位置右键以防误删。3. 设置时间数据包列表栏的时间这一列默认显示格式看起来很不方便我们可以调整时间的显示格式。点击工具栏的「视图」选择「时间显示格式」设置你喜欢的格式。4. 标记数据包对于某些比较重要的数据包可以设置成高亮显示以达到标记的目的。选中需要标记的数据包右键选择最上面的「标记/取消标记」。选中数据包按 Ctrl M 也可以实现同样的效果按两次可以取消标记。5. 导出数据包演示快速抓包时我们讲过保存数据包的操作保存操作默认保存所有已经抓取的数据包。但有时候我们只需要保存指定的数据包这时候可以使用导出的功能。1导出单个数据包选中数据包点击左上角的「文件」点击「导出特定分组」。在「导出分组界面」选择第二个 「Selected packets only」只保存选中的数据包。2导出多个数据包有时候我们需要导出多个数据包Wireshark有一个导出标记的数据包的功能我们将需要导出的数据包都标记起来就可以同时导出多个数据包。点击左上角的「文件」点击「导出特定分组」。在「导出分组界面」勾选第三个 「Marked packets only」只导出标记的数据包。6. 开启混杂模式局域网的所有流量都会发送给我们的电脑默认情况下我们的电脑只会对自己mac的流量进行解包而丢弃其他mac的数据包。开启混杂模式后我们就可以解析其他mac的数据包因此我们使用Wireshark时通常都会开启混杂模式。点击菜单栏的「捕获」按钮点击「选项」。勾选 在所有接口上使用混杂模式。六、过滤器操作过滤器是Wireshark的核心功能也是我们平时使用最多的一个功能。Wireshark提供了两个过滤器抓包过滤器 和 显示过滤器。两个过滤器的过滤思路不同。抓包过滤器重点在动作需要的包我才抓不需要的我就不抓。显示过滤器重点在数据的展示包已经抓了只是不显示出来。1. 抓包过滤器抓包过滤器在抓包前使用它的过滤有一个基本的语法格式BPF语法格式。1BPF语法BPF全称 Berkeley Packet Filter中文叫伯克利封包过滤器它有四个核心元素类型、方向、协议 和 逻辑运算符。类型Type主机host、网段net、端口port方向Dir源地址src、目标地址dst协议Proto各种网络协议比如tcp、udp、http逻辑运算符与 、或 || 、非 四个元素可以自由组合比如src host 192.168.31.1抓取源IP为 192.168.31.1 的数据包tcp || udp抓取 TCP 或者 UDP 协议的数据包2使用方式使用抓包过滤器时需要先停止抓包设置完过滤规则后再开始抓包。停止抓包的前提下点击工具栏的捕获按钮点击选项。在弹出的捕获选项界面最下方的输入框中输入过滤语句点击开始即可抓包。提示抓包过滤器的输入框会自动检测语法绿色代表语法正确红色代表语法错误。2. 显示过滤器显示过滤器在抓包后或者抓包的过程中使用。1语法结构显示过滤器的语法包含5个核心元素IP、端口、协议、比较运算符和逻辑运算符。IP地址ip.addr、ip.src、ip.dst端口tcp.port、tcp.srcport、tcp.dstport协议tcp、udp、http比较运算符 !逻辑运算符and、or、not、xor有且仅有一个条件被满足5个核心元素可以自由组合比如ip.addr 192.168.32.121显示IP地址为 192.168.32.121 的数据包tcp.port 80 显示端口为 80 的数据包2使用方式在过滤栏输入过滤语句修改后立即生效。提示过滤栏有自动纠错功能绿色表示语法正确红色表示语法错误。如何系统学习网络安全/黑客网络安全不是「速成黑客」而是守护数字世界的骑士修行。当你第一次用自己写的脚本检测出漏洞时那种创造的快乐远胜于电影里的炫技。装上虚拟机从配置第一个Linux环境开始脚踏实地从基础命令学起相信你一定能成为一名合格的黑客。如果你还不知道从何开始我自己整理的282G的网络安全教程可以分享我也是一路自学走过来的很清楚小白前期学习的痛楚你要是没有方向还没有好的资源根本学不到东西下面是我整理的网安资源希望能帮到你。需要的话可以V扫描下方二维码联系领取~如果二维码失效可以点击下方链接去拿一样的哦【CSDN大礼包】最新网络安全/网安技术资料包~282G无偿分享1.从0到进阶主流攻防技术视频教程包含红蓝对抗、CTF、HW等技术点2.入门必看攻防技术书籍pdf书面上的技术书籍确实太多了这些是我精选出来的还有很多不在图里3.安装包/源码主要攻防会涉及到的工具安装包和项目源码防止你看到这连基础的工具都还没有4.面试试题/经验网络安全岗位面试经验总结谁学技术不是为了赚$呢找个好的岗位很重要需要的话可以V扫描下方二维码联系领取~因篇幅有限资料较为敏感仅展示部分资料添加上方即可获取如果二维码失效可以点击下方链接去拿一样的哦【CSDN大礼包】最新网络安全/网安技术资料包~282G无偿分享